EL RANSOMWARE DMA LOCKER 4.0 SE PREPARA PARA UN DESPLIEGUE MASIVO

El ransomware es el tipo de malware más peligroso de los últimos años. Existen muchas variantes de ransomware diferentes y, aunque alguna de ellas son bastantes inofensivas y sencillas de descifrar, otras evolucionan hacia un funcionamiento mucho más complejo que, además de ser complicadas de detectar, el algoritmo utilizado hace que sean imposibles de recuperar. Esto es lo que ha pasado con DMA Locker, un ransomware que ha pasado de ser uno de los más inofensivos a uno de los más peligrosos en menos de 6 meses.

Mientras que las tres primeras versiones de este malware se distribuían a través de clientes de escritorio remoto comprometidos, esta nueva variante DMA Locker 4.0 se está instalando a través del kit de exploits Neutrino, demostrando una peligrosa madurez tanto de los piratas informáticos como del ransomware como tal.

Cuando esta nueva versión nos ataca, oculta su apariencia bajo un icono de un documento de Adobe Acrobat Reader (aunque la extensión sigue siendo .exe) que, al ejecutarlo, se copia a sí mismo en archivos de programa y cambia su nombre por “svchosd.exe” para hacerse pasar por el proceso legítimo de Windows, junto a dos ficheros más para uso interno: la nota de rescate y el lanzador de la nota.

DMA Locker 4.0 – Ficheros

El malware también crea una serie de entradas en el registro y las reglas necesarias para permitir la salida a Internet a través del firewall (ya que sin conexión a Internet no puede cifrar los datos). Una vez establece conexión con el servidor del pirata informático, genera y descarga las claves y comienza a cifrar todos los datos.

Una vez finaliza, muestra la ventana de rescate, donde se indica al usuario que ha sido víctima del secuestro de datos y que debe pagar el rescate para recuperar los datos.

DMA Locker 4.0

Los piratas informáticos piden 1 Bitcoin como “pronto pago” a cambio de la clave, el cual aumenta a 1.5 BTC si pasan unos días. Si tras una semana no se ha realizado el pago, amenazan con borrar la clave y, de esta forma, se perderán los archivos para siempre.

Por el momento no se conoce ninguna forma de recuperar los datos sin pagar, incluso pagando dicha recuperación no está asegurada, por lo que, si somos víctimas de esta amenaza, recomendamos esperar a ver si alguna empresa de seguridad consigue encontrar una vulnerabilidad en el ransomware que permita la recuperación de dichos datos.

EVOLUCIÓN DEL RANSOMWARE DMA LOCKER

La primera versión de este ransomware fue detectada por primera vez en enero de este mismo año. Este ransomware bastante sencillo e inexperto utilizaba un cifrado AES de 256 bits en modo ECB y la clave estaba incluida en el mismo binario que nos infectaba, por lo que si teníamos el binario original era posible recuperar la clave y utilizarla para descifrar todos nuestros archivos.

La segunda versión de esta amenaza apareció en febrero, apenas un mes más tarde de la 1.0. La principal diferencia con la versión anterior es que la clave AES se generaba por cada binario justo antes de la infección, aunque era posible volver a generar dichas claves manualmente, por lo que la recuperación de los datos seguía siendo posible.

La tercera versión, DMA Locker 3.0, llegó apenas dos semanas más tarde la 2.0, y, aunque era igual que la anterior, en esta ocasión solucionaba el fallo que permitía la recuperación de los datos, por lo que ya no era posible la recuperación.

Estas tres primeras versiones funcionan sin conexión a Internet, sin embargo, como ya os hemos explicado, esta nueva versión 4.0 funciona online y se genera una clave única para cada cliente, impidiendo así que los datos puedan ser recuperados, al menos de momento.

Ver información original al respecto en Fuente:
http://noticiasseguridad.com/malware-virus/el-ransomware-dma-locker-4-0-se-prepara-para-un-despliegue-masivo/

 

NOTA : A partir del ELISTARA 34.62 de hoy se controlarán las dos versiones 3.0 y 4.0 del DMALOCKER, pidiendo muestra de los ficheros correspondientes a cada versión, NTSERVER.EXE y VSCHOSD.EXE (Con D final) respectivamente, de datos de programa de ALLUSERS  (%program data%), a cuya recepción iremos controlando específicamente las nuevas variantes de dicho ransomware.

saludos

ms, 25.5.2016

 

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies